專利名稱:移動設備的制作方法
技術領域:
在此描述的裝置和方法涉及移動計算技術���,特別是涉及允許安全、遠程移動計算的移動設備管理服務器��。
背景技術:
企業(yè)和個人均日益要求移動性作為他們的計算環(huán)境的特征���。對于企業(yè)��,移動性允許跨全然不同的地理位置進行人員部署�,這使得企業(yè)能更好地服務它們的客戶����。例如���,大的制藥公司可能希望將它們的銷售人員部署在靠近目標客戶(如醫(yī)生)的“現場”。在這樣的環(huán)境中��,“現場”人員可能希望通過安全連接能有權使用敏感的銷售和市場推廣信息及計算應用程序�����。在目前的解決方案中����,這些人員通常被留以麻煩的任務,即在一天結束時將他們的數據通過某一安全的計算機網絡連接(如虛擬專用網)與他們的企業(yè)網絡“同步”�。相比較而言,個人在他們的計算環(huán)境中尋求移動性是為了獲得接近他們的數據和計算應用程序的能力�����,更重要地�,在因特網通信時代始終保持“連通”。
響應于移動計算的需要���,計算環(huán)境制造商已開發(fā)了移動計算技術(如獨立�����、網絡和/或嵌入技術)�����,這些技術使人們可在旅途中享受他們的計算環(huán)境�。這樣的移動設備目標在于允許用戶一直“攜帶”他們的文件和應用程序。盡管提供了移動性�����,但這些設備趨向于邊際效應����,因為它們的形狀因子��、處理能力和可攜帶性均是變化的�����。由于這樣的限制���,用戶通常不得不拖拉較大的便攜式計算機隨其左右���,以確保他們具有所有需要的文件和計算應用程序����。這樣的實踐以計算系統的內在設計為前提——即采用“以設備為中心的”計算��。
對于“以設備為中心的”計算用戶�,盡管可經遠程通信應用(如虛擬專用網)遠程且安全地訪問文件,但還是不得不將較大的�����、笨重的計算裝置隨其攜帶以檢索他們的數據和計算應用程序���。更重要地���,對于以設備為中心的計算,用戶通常被提供給一設備用于他們的企業(yè)計算需要(如公司個人計算機�、膝上型電腦),并通常在他們的家中具有一個或多個計算環(huán)境以用于個人使用目的���。在維護多個計算環(huán)境時�,計算機用戶承擔在他們的許多不同計算環(huán)境之間同步其習慣參數選擇和設置的任務�����。這樣的任務非常費勁且經常因不能在許多不同計算環(huán)境之間使用想要的數據和/或計算應用程序而使計算機用戶失敗。
例如�,計算機用戶可能希望使來自其財務規(guī)劃和管理計算應用程序(如Quicken、Microsoft Money)的財務規(guī)劃和管理數據一直隨其左右�����,以處理可能發(fā)生的任何支付(如失效的賬單)�����。在目前的解決方案中��,計算機用戶必須在其每一計算環(huán)境上安裝財務規(guī)劃和管理計算應用程序(包括其企業(yè)的計算機—這可能違反企業(yè)計算政策和程序)���,以使其可使用所需要的數據。相反���,企業(yè)可能希望有效且立即結束將被終止雇用關系的雇員對敏感企業(yè)數據的所有訪問��。在基于以設備為中心的計算的當前實踐中����,雇員被要求上繳他們的計算環(huán)境(如膝上型電腦、個人計算機��、移動電話��、或個人數字助理)�����。另外�,通過終止其企業(yè)用戶目錄信息而限制不久將被終止雇用的雇員使用企業(yè)數據。然而�,收集這樣的設備及終止訪問有固定的執(zhí)行時間。該執(zhí)行時間可導致該雇員能從企業(yè)計算環(huán)境拷貝文件以用于其以后使用���。如此��,在現有實踐中��,敏感的企業(yè)數據可能被泄密�����。
綜上所述��,應該意識到有克服現有實踐的缺點的需要���。
發(fā)明內容
本發(fā)明提供了用于允許安全移動計算的移動設備平臺中的移動設備�����。在說明性的實施方式中�,示例性的移動設備平臺包括用于通過通信接口與至少一計算環(huán)境通信的移動設備�����,其中移動設備用于處理和保存安全的網絡服務����,通信網絡用于通過使用網絡服務傳送數據和計算應用程序,及移動設備管理服務器用于產生�����、處理�����、保存��、傳送和加密到移動設備的網絡服務�。移動設備可包括處理單元、用于與協作的計算環(huán)境連接的移動設備通信接口�、存儲器存儲單元、及用于運行網絡服務和/或計算應用程序的操作系統�����。
在運行中��,移動設備通過移動設備通信接口與一個或多個協作的計算環(huán)境合作�。移動設備可通過使用用戶鑒別信息而參與用戶鑒別。一旦用戶通過鑒別����,移動設備可通過移動設備通信接口與至少一協作的計算環(huán)境合作以在協作的計算環(huán)境上運行網絡服務和/或計算應用程序。此外��,移動設備可與協作的移動設備管理服務器合作以獲得用于在至少一協作的計算環(huán)境上運行的網絡服務和/或計算應用程序�����。
在此描述的裝置和方法的其它特征將在下面進一步描述���。
使用的移動設備平臺和方法將參考附圖進一步描述��,其中圖1為根據在此描述的裝置和方法的示例性計算環(huán)境的框圖�����。
圖2為根據在此描述的裝置和方法的示例性計算網絡環(huán)境的框圖��。
圖3為根據在此描述的裝置和方法的示出示例性計算構件之間的相互作用的框圖��。
圖4為根據在此描述的裝置和方法的移動設備平臺的例證性實施例的框圖��。
圖5為根據在此描述的裝置和方法的示例性移動設備的說明性軟件體系結構的框圖�。
圖6為根據在此描述的裝置和方法的示例性移動設備的說明性硬件體系結構的框圖。
圖7為根據在此描述的裝置和方法���,用于示例性移動設備的說明性用戶和設備鑒別堆棧的框圖�。
圖8為根據在此描述的裝置和方法����,用于示例性移動設備的多工作區(qū)的說明性實施方式的框圖。
圖9為根據在此描述的裝置和方法���,當配置示例性的移動設備時所執(zhí)行的例證性處理的流程圖。
具體實施例方式
概述在此描述的裝置和方法提供“用戶為中心”的計算及移動計算方法����。在當前的計算解決方案中��,企業(yè)或個人���,通常使用“設備為中心”的模型進行設計。設備為中心的模型目標在于基于設備分配和標識管理和跟蹤用戶�。例如,在企業(yè)計算的情況下�����,企業(yè)計算環(huán)境可包括多個服務器計算環(huán)境和大量客戶機計算環(huán)境���。通常���,企業(yè)中的每一用戶被提供以客戶機計算環(huán)境(如個人計算機或膝上型電腦),其通常通過企業(yè)通信接口與服務器計算環(huán)境形成網絡�����,或者��,如果用戶遠離企業(yè)通信網絡�����,通過虛擬專用網(VPN)。另外���,在傳統的企業(yè)計算環(huán)境中���,通過目錄服務結構,用戶被提供以用戶標識信息和密碼信息����,目錄服務結構將用戶權限和特許與某些企業(yè)數據和計算應用相關聯。
在這樣的企業(yè)計算環(huán)境中�����,用戶通常只被允許用其參數選擇和設置自定義提供給其的計算環(huán)境����,使得如果用戶在網絡上漫游并登錄其自己以外的計算環(huán)境,他們將不能使用其自己的習慣參數選擇和設置�。當希望在企業(yè)計算環(huán)境和個人計算環(huán)境(如家用計算機)之間同步維護參數選擇和設置(如瀏覽器書簽、桌面外觀���、配色方案�、應用程序布局、及文件的目錄結構)的企業(yè)用戶通常不得不執(zhí)行人工同步時也可看出此問題�����。
此外���,對于現有的企業(yè)計算環(huán)境,大量客戶機計算環(huán)境的管理是令人畏縮的任務���。目前����,企業(yè)雇請幾十個但非幾百個信息技術部門來支持許多用戶及其計算環(huán)境���。除了起碼的物理管理以外����,企業(yè)數據的完整性和安全性也是設備為中心的計算模型需考慮的事情��。在這種情況下����,企業(yè)計算用戶在拷貝和包含敏感企業(yè)數據時通常由他們的意志決定�����。由于阻止用戶未經授權就復制企業(yè)文件和數據的任務最令人畏縮�,大多數企業(yè)均變得對此一無所知?����,F有實踐的這種局限對企業(yè)和個人而言均損失慘重���。
在此描述的裝置和方法目的在于改進現有實踐的缺陷�����,其提供使用“用戶為中心”的模型設計的移動設備�����。在例證性的實施例中���,移動設備打算用作移動設備平臺的一部分,移動設備平臺包括至少一移動設備(MD)����,其用于通過通信接口(如通用串行總線(USB)�、IEEE1394通信接口(火線)�、802.XX通信接口、藍牙通信接口��、個人計算機接口���、小型計算機串行接口、及無線應用協議(WAP)通信接口)與一個或多個協作的計算環(huán)境(如個人計算機�、個人數字助理、移動電話����、入網的計算機、及其它計算環(huán)境)進行通信���。另外��,移動設備平臺包括一個或多個移動設備管理服務器(MDMS)�,其用于對協作的移動設備及其用戶進行鑒別����、驗證并提供用戶管理。
在實施中��,移動設備可與調用一個或多個工作區(qū)的一個或多個計算環(huán)境合作以處理網絡服務。網絡服務可從MD本機的數據和計算應用進行執(zhí)行��,或者MD可與一個或多個MDMS合作以獲得想要的網絡服務�。MDMS可用于鑒別請求MD以確保它們對所請求的網絡服務有權限和特許。另外�����,MDMS可與第三方網絡服務提供商合作以獲得所請求的網絡服務�����。在這種情況下�,MDMS可用于將非MD本地網絡服務格式的網絡服務轉換為本地MD網絡服務。當從MDMS通信網絡服務到協作的MD時�����,MDMS和MD使用用戶和設備鑒別及驗證信息進行1028位和/或2056為加密(如PKI加密)���。MDMS提供給MD的網絡服務可包括但不限于計算應用及所需要的數據�。另外�����,MD可將參與用戶的自定義設置和參數選擇保存到MD本機以使它們一直可為用戶使用。
為此���,使用移動設備�,用戶可遍歷任意數量的協作計算環(huán)境�����,他們將能使用他們自定義的設置和參數選擇���,更重要地,可安全訪問他們的計算應用和文件(如網絡服務提供的計算應用和文件)�。
網絡服務在通信網絡如因特網上提供的服務,一般被稱為網絡服務或應用服務����,在不斷發(fā)展。同樣��,推動這樣的服務的技術也在不斷發(fā)展����。網絡服務可被定義為任何信息源運營商業(yè)邏輯進程,其可方便地打包以供應用程序或終端用戶使用��。網絡服務正日益成為人們可通過其在網絡上提供功能性的手段。網絡服務通常包括編程和數據的一些組合�����,其被使得可從應用服務器為終端用戶及網絡連通的其它應用程序使用����。網絡服務的范圍從如存儲管理及客戶關系管理這樣的服務到更有限的服務如提供股票報價及檢查拍賣物的投標。
專注于規(guī)定和標準化網絡服務的使用的活動包括網絡服務描述語言(WSDL)的開發(fā)��。WSDL是可擴展的置標語言(XML)格式�����,用于將網絡服務描述為對消息的一組端點操作���,消息或包含文檔導向的信息或包含過程導向的信息�����。操作和消息均被抽象地描述���,并接著與具體的網絡協議和消息格式綁定以定義端點。有關的具體端點被結合為抽象的端點(服務)。
目前�,所提倡的網絡服務使用模型總體上如下所示。
(1)服務在一站點上執(zhí)行和配置�����,通常稱為服務器端�。
(2)服務使用WSDL進行描述并經如UDDI(統一描述、發(fā)現和集成)的手段進行公布��,其是基于XML的登記���,用于全球范圍內的商業(yè)機構通過他們提供的網絡服務而將他們本身列表在因特網上��。
(3)客戶應用程序通過首先解釋一個或多個WSDL文檔而在另一地點使用網絡服務,通常稱為客戶端�。一旦被解釋,客戶可理解相關服務的特征����。例如,服務特征可包括服務API規(guī)范����,如(a)輸入數據類型,(b)服務輸入數據格式,(c)服務接入機制或風格(如RPC對消息接發(fā))����,及(d)相關的編碼格式。
(4)客戶應用程序以多個特定網絡服務可理解的方式準備其數據�����。
(5)客戶應用程序按照服務指定的方式如在相關的WSDL文檔中調用特定的服務��。
網絡服務之間在輸入數據格式及其被調用的方式方面有許多差異�����。例如�,假設一應用服務提供商提供服務getCityWeather,其只要求一個輸入參數如常規(guī)的城市名稱(如�����,鹽湖城則輸入SLC)��。想要調用該服務的客戶應用程序需要被寫入�,使得應用程序內的數據或應用程序的輸出能被分析以提取城市信息。在運行時間��,有準備的符號通過使用適當的API傳遞給getCityWeather服務站點。
然而�����,假設另一應用服務提供商提供類似的服務�,但其要求兩個輸入參數,如城市名稱和郵政編碼�。因此,如果客戶應用程序想要調用該第二種服務�����,其需要適當地分析和提取其關于所需要的服務輸入參數的數據�。因此,如果單一應用程序想要調用兩個服務����,則應用程序不得不被硬編碼以服務專用的API信息和規(guī)程。此外�,如果應用程序想要調用很多服務����,則應用程序不得不被硬編碼以與其想要調用的每一服務相關的服務專用的API信息和規(guī)程。
如上所述���,不同的網絡服務可提供類似的功能性���,但在許多方面不同�����。在此描述的裝置和方法目的在于改進這樣的不一致���,其通過提供具有移動設備管理服務器的移動設備平臺實現,其包括網絡服務變換模塊�����,用于從網絡服務提供商接受數據并將它們呈現在協作的移動設備本地的網絡服務模型中���。
簡單對象訪問協議(SOAP)概述簡單對象訪問協議(SOAP)是輕便的��、基于XML的協議��,用于在分散���、分布式環(huán)境中交換信息。SOAP支持不同類型的信息交換�,包括遠程過程調用形式(RPC)�����,其允許請求-響應處理�����,其中端點接收過程導向的消息并用相關的響應消息回答�����。
消息導向的消息交換�,其支持需要交換商務或其它類型的文檔的組織和應用�,其中消息被發(fā)送但發(fā)送者并不期望或等待立即響應。
通常���,SOAP消息由SOAP包封組成��,其包封兩個數據結構�����、SOAP首部和SOAP本體�����、及用于定義它們的關于名字空間的信息����。首部是可選的�����;當呈現時�����,其傳遞關于在SOAP本體中定義的請求的信息�����。例如��,其可包含事務處理���、安全性����、上下文����、或用戶簡介信息��。本體包含網絡服務請求或以XML格式回答請求��。SOAP消息的高級結構如下面的圖中所示�。
SOAP消息����,當用于攜帶網絡服務請求和響應時,可符合可用網絡服務的網絡服務定義語言(WSDL)定義�。WSDL可定義用于訪問網絡服務的SOAP消息、該SOAP消息可于其上交換的協議����、及這些網絡服務可被訪問的因特網位置。WSDL描述符可位于UDDI或其它目錄服務中����,且它們還可經配置或其它手段如在SOAP請求回復的本體中進行提供。
有SOAP規(guī)約(如可在www.w3.org找到的w3 SOAP規(guī)約)提供編碼請求和響應的標準方式�。其使用XML模式描述消息有效負載的結構和數據類型。SOAP可用于網絡服務的消息和響應的方式為SOAP客戶使用符合SOAP規(guī)約的XML文檔且其包含服務請求�����。
SOAP客戶將文檔發(fā)送給SOAP服務器,在服務器上運行的SOAP小服務程序使用如HTTP或HTTPS處理文檔�����。
網絡服務接收SOAP消息�����,并將消息作為服務調用分派給提供所請求的服務的應用程序���。
來自服務的響應通過再次使用SOAP協議被返回給SOAP服務器,且該消息被返回給始發(fā)的SOAP客戶�����。
應該意識到的是���,盡管SOAP在此被描述為用于在此描述的裝置和方法的通信協議�����,但其僅是示例性的�����,因為在此描述的裝置和方法可采用不同的通信協議和消息接發(fā)標準�����。
說明性的計算環(huán)境圖1示出了根據在此描述的裝置和方法的示例性計算系統100���。計算系統100能夠運行各種操作系統180和可在操作系統180上運行的計算應用程序180’(如網絡瀏覽器和移動桌面環(huán)境)���。示例性的計算系統100主要由計算機可讀的指令控制,其可以是軟件的形式��,這樣的軟件被保存在哪里或怎樣訪問��。這樣的軟件可在中央處理單元(CPU)110內運行以使數據處理系統100工作�����。在許多已知的計算機服務器����、工作站和個人計算機中,中央處理單元110由微電子芯片CPU實現�����,稱為微處理器。協處理器115是可選的處理器���,不同于主CPU110���,其執(zhí)行另外的功能或幫助CPU110�。CPU110可通過互聯112連接到協處理器115。一種普通類型的協處理器是浮點協處理器����,也稱為數值或數學協處理器,其被設計來執(zhí)行比通用CPU110更快����、更好的數值計算。
應意識到的是����,盡管示例性的計算環(huán)境被示出包括單一CPU110,但這樣的描述僅是說明性的�,因為計算環(huán)境100可包括許多CPU110。另外�,計算環(huán)境100可通過通信網絡160或一些其它數據通信方式(未示出)利用遠程CPU(未示出)的資源。
在運行中,CPU110取回���、解碼并執(zhí)行指令��,及經計算機的主要數據傳輸途徑--系統總線105在其它資源之間傳送信息���。這樣的系統總線連接計算系統100中的組件并定義數據交換的介質。系統總線105通常包括用于發(fā)送數據的數據線�、用于發(fā)送地址的地址線、及用于發(fā)送中斷及用于操作系統總線的控制線���。這樣的系統總線的例子是PCT(外圍元件互聯)總線�。目前的一些先進總線提供稱為總線仲裁的功能�,其通過擴展卡、控制器和CPU110管理對總線的訪問���。連到這些總線并仲裁取代總線的設備被稱為總線主控器���。總線主控器支持還允許總線的多處理器結構通過添加總線主控器適配器產生��,總線主控器適配器包含處理器及其支持芯片����。
連到系統總線105的存儲器設備包括隨機存取存儲器(RAM)125和只讀存儲器(ROM)130����。這樣的存儲器包括允許信息被保存和檢索的電路�。ROM130通常包含所保存的、不能被修改的數據��。保存在RAM125中的數據可由CPU110或其它硬件設備讀取或改變���。RAM125和/或ROM130的存取可由存儲器控制器120控制����。存儲器控制器120可提供地址變換功能���,其在指令被執(zhí)行時將虛擬地址轉換為物理地址。存儲器控制器120還可提供存儲器保護功能�,其隔離系統內的進程并將系統進程與用戶進程隔離。因而�����,在用戶方式運行的程序只可正常地訪問其自己的進程虛擬地址空間映射的存儲器���;其不能訪問另一進程的虛擬地址空間內的存儲器���,除非存儲器在已被建立的進程之間共享�����。
此外��,計算系統100可包含外設控制器135����,負責將指令從CPU110通信給外圍設備�,如打印機140、鍵盤145����、鼠標150、及數據存儲驅動器155��。
顯示器165���,其由顯示器控制器163控制����,用于顯示計算系統100產生的視覺輸出。這樣的視覺輸出可包括文本��、圖形���、動畫圖形和視頻�����。顯示器165可用基于CRT的視頻顯示器��、基于LCD的平板顯示器����、基于氣體等離子的平板顯示器�����、觸板或其它顯示器形式實施��。顯示器控制器163包括產生發(fā)送給顯示器165的視頻信號所需要的電子元件����。
此外����,計算系統100可包含網絡適配器170�����,其可用于將計算系統100連接到外部的通信網絡160��。通信網絡160可對計算機用戶提供以電子地通信和傳輸軟件及信息的手段���。另外,通信網絡160可提供分布式的處理���,其涉及幾個計算機及執(zhí)行任務時的工作量或合作努力的分享����。應意識到的是�,所示的網絡連接僅是示例性的,在計算機之間建立通信鏈路的其它手段也可被使用�。
應意識到的是,示例性的計算機系統100僅是在此描述的裝置和方法可得以起作用的計算環(huán)境的例子���,并非限制在此描述的裝置和方法在具有不同元件和結構的計算環(huán)境中的實施�����,因為在此描述的有創(chuàng)造性的概念可在具有不同元件和結構的不同計算環(huán)境中實施���。
說明性的計算機網絡環(huán)境如上所述����,計算系統100可被部署作為計算機網絡的一部分���。通常�����,上面對計算環(huán)境的描述既應用于部署在網絡環(huán)境中的服務器計算機�����,也應用于客戶計算機�����。圖2示出了示例性的網絡計算環(huán)境200,服務器經通信網絡與客戶計算機通信�����,其中在此描述的裝置和方法可被使用。如圖2所示�����,服務器205可經通信網絡160(其可以是有線或無線LAN��、WAN�����、內聯網��、外聯網���、對等網絡���、因特網、或其它通信網絡之一或其組合)與大量客戶計算環(huán)境如平板個人計算機210����、移動電話215、電話220�����、個人計算機100及個人數字助理225互連。另外�,在此描述的裝置和方法可與汽車計算環(huán)境(未示出)、消費者電子計算環(huán)境(未示出)協作并經通信網絡160建立自動化的控制計算環(huán)境(未示出)���。在通信網絡160是因特網的網絡環(huán)境中����,例如���,服務器205可以是專用的計算環(huán)境服務器�����,用于經大量已知協議中的任一協議如超文本傳輸協議(HTTP)�����、文件傳輸協議(FTP)���、簡單對象訪問協議(SOAP)或無線應用協議(WAP)在客戶計算環(huán)境100、210����、215、220�、和225之間處理并通信網絡服務。每一客戶計算環(huán)境100�����、210��、215����、220和225可被裝備以瀏覽器操作系統180,用于支持一個或多個計算應用程序如網絡瀏覽器(未示出)�、或移動桌面環(huán)境(未示出)以能接入服務器計算環(huán)境205。
在運行中���,用戶(未示出)可與客戶計算環(huán)境上運行的計算應用程序相互作用以獲得想要的數據和/或計算應用程序�����。數據和/或計算應用程序可被保存在服務器計算環(huán)境205上并通過客戶計算環(huán)境100��、210�����、215���、220和225在示例性的通信網絡160上傳送給協作用戶����。參與用戶可使用網絡服務事務請求訪問整體或部分包封在服務器計算環(huán)境205上的特殊數據和應用程序����。這些網絡服務事務可在客戶計算環(huán)境100、210����、215、220和225及服務器計算環(huán)境之間通信以進行處理和存儲�。服務器計算環(huán)境205可存放用于網絡服務的產生、鑒別���、加密和通信的計算應用程序�����、進程及程序����,并可與其它服務器計算環(huán)境(未示出)、第三方服務提供商(未示出)��、網絡附加的存儲(NAS)及存儲區(qū)網絡(SAN)協作以實現網絡服務事務����。
因此�,在此描述的裝置和方法可被使用在具有客戶計算環(huán)境和服務器計算環(huán)境的計算機網絡環(huán)境中,客戶計算環(huán)境用于訪問網絡并與網絡相互作用�����,服務器計算環(huán)境用于與客戶計算環(huán)境相互作用�。然而,提供移動設備平臺的裝置和方法可以多種基于網絡的體系結構進行實施�����,因而不應限于所示的例子����。在此描述的裝置和方法將結合目前例證性的實施方式進行詳細描述。
移動設備平臺組件圖3示出了示例性的移動設備和說明性的移動設備平臺之間的示例性的相互作用�����。總體上如圖3所示���,示例性的移動設備平臺300�����,簡單地說��,可包括使用通信接口305與客戶計算環(huán)境100協作的移動設備310���,通信接口305在所選的通信協議(未示出)上運行。另外���,示例性的移動設備平臺300還可包括(圖1的)通信網絡160和服務器計算環(huán)境205�。
在運行中���,移動設備可通過通信接口305與客戶計算環(huán)境100協作以運行一個或多個源自移動設備310并可為用戶顯示在客戶計算環(huán)境100上的計算應用程序180’�。計算應用程序180’可包括但不限于提供常規(guī)操作系統的觀感的瀏覽器應用程序���、字處理應用程序����、電子制表軟件、數據庫應用程序�����、網絡服務應用程序����、及用戶管理/優(yōu)選應用程序����。另外,移動設備310可使用客戶計算環(huán)境100經通信網絡160與服務器計算環(huán)境205協作以獲得網絡服務形式的數據和/或計算應用程序��。
圖4示出了示例性的移動設備405與說明性的移動設備平臺400之間的相互影響��。如圖4中所示�,示例性的移動設備平臺400包括移動設備(MD)405、計算環(huán)境410�����、通信網絡435���、移動設備管理服務器(MDMS)420及第三方網絡服務提供商440�。另外,如MD分解圖中進一步所示��,MD405還包括處理單元(PU)���、操作系統(OS)�����、存儲存儲器(RAM/ROM)�、及MD通信接口�。同樣,MDMS420還包括變換引擎425�����、網絡服務430和加密引擎445�。
在運行中,MD405使用一個或多個MD組件PU�����、OS����、RAM/ROM和MD通信接口通過MD/計算環(huán)境通信接口410與計算環(huán)境415進行通信����。當與計算環(huán)境415通信時��,MD405可裝入一個或多個計算應用程序(未示出)�����,其可包括但不限于移動桌面環(huán)境���、用戶自定義和鑒別管理器、及網絡服務應用程序作為配置的一部分���。一旦被配置好�,MD405還可與計算環(huán)境415協作以處理一個或多個網絡服務(如網絡服務數據和/或計算應用程序)����。在這樣的環(huán)境中,MD405還可使用通信網絡435從協作的MDMS420請求網絡服務數據和/或計算應用程序以處理這樣的網絡服務��。在這種情況下�����,MDMS420可用于鑒別MD405以確保參與用戶(未示出)和移動設備405對所請求的數據和/或計算應用程序具有正確的特許。
如果被適當鑒別��,MDMS420還可用于將所請求的數據和/或計算應用程序存放在MDMS420本地并在通信網絡435上將這些所請求的數據和/或計算應用程序(如網絡服務)提供給經鑒別的MD405��,或用于與第三方服務提供商440合作以獲得請求的網絡服務從而傳送給經鑒別的MD405��。當與第三方網絡服務提供商440合作時����,MDMS420可用于使用變換引擎425將源自第三方網絡服務提供商440的網絡服務430變換為MD本地格式。另外���,當滿足來自經鑒別的MD405的網絡服務請求時�,MDMS420可用于使用加密引擎445加密所請求的網絡服務��。
另外�����,MDMS420還可用于與使用所選擇的加密協議(如PKI加密)的文件系統合作以獲得所請求的數據從而傳送給MD405��。協作的文件系統可包括但不限于文件分配表(FAT)文件系統和新技術文件系統(NTFS)。
圖5為示例性移動設備(MD)500的示例性軟件構件及其相互作用的框圖����。如圖5中所示,示例性的移動設備500包括移動設備表現在計算環(huán)境上的模塊505和移動設備操作系統模塊510����。MD表現模塊和MD操作系統模塊經HTTP通信接口連接。MD表現模塊505還包括應用框架子模塊515�����、應用模型520��、桌面環(huán)境525和應用程序530��。另外�����,應用程序555�、皮膚560和主題565與MD表現模塊合作以提供用于在協作的計算環(huán)境(未示出)上產生一個或多個顯示(如移動桌面環(huán)境)的數據�����。
MD操作系統510還包括Java字節(jié)代碼裝入程序535、超文本傳輸協議(HTTP)服務器540��、簡單對象訪問協議(SOAP)服務器545和標準程序庫550���。另外��,SOAP服務570��、Java服務器端網頁(JSP)應用程序和圖像575�、及庫580向MD操作系統510提供數據和功能以允許移動設備處理和運行網絡服務(未示出)����。
在運行中,移動設備500采用MD表現模塊505和MD操作系統模塊510在協作的計算環(huán)境(未示出)中建立表現和執(zhí)行環(huán)境(如移動桌面環(huán)境)���。應用框架515和應用模型520可用于為通過移動設備并在協作的計算環(huán)境(未示出)上運行的應用程序提供參數和配置變量�。桌面530提供移動桌面環(huán)境以允許網絡服務和/或計算應用程序的執(zhí)行�����。應用程序530在應用框架和應用模型上工作以提供一個或多個通過移動設備在協作的計算環(huán)境上執(zhí)行的應用程序��。另外的數據應用程序555為可由移動設備在協作的計算環(huán)境上執(zhí)行的另外的應用程序��。皮膚560和主題565提供外觀和顯示配置參數及設置,其使參與用戶能夠自定義移動設備執(zhí)行的應用程序和移動桌面環(huán)境的外觀����。
MD操作系統模塊510用于提供計算應用程序和網絡服務可由移動設備于其之上執(zhí)行的軟件體系結構。Java字節(jié)代碼裝入程序535用于幫助java語言模塊的處理����。HTTP服務器540用于為移動設備提供HTTP通信服務。SOAP服務器545用于為移動設備提供SOAP操作����。標準程序庫550提供用于編譯和執(zhí)行各種java代碼的編程語言(即java)庫。SOAP服務570向MD操作系統模塊510提供參數和配置值以處理SOAP事務(如網絡服務)���。JSP應用程序和圖像向MD操作系統模塊提供另外的數據以處理java服務器網頁�。庫580提供為MD操作系統模塊510使用的另外的編程庫����,以支持計算應用程序的執(zhí)行和網絡服務的處理。
應意識到的是�,MD表現模塊505和MD操作系統模塊510的形狀被示作具有榫卯排列,以表明移動設備能夠接受多個協作的數據���、特征和操作以幫助處理和執(zhí)行網絡服務。此外,這些模塊形狀被表現為由虛線框包圍����,以表明這樣的數據、特征和操作可在模塊之間互換和移動���。
還應意識到��,盡管移動設備500被示出具有用以說明的結構和構件��,但這樣的描述僅是示例性的���,因為在此描述的裝置和方法可通過具有不同結構的不同構件實現。
圖6為用以說明的移動設備的示例性硬件體系結構的框圖�����。如圖所示�����,移動設備600包括計算環(huán)境通信連接器605����、通信接口物理收發(fā)器610和移動設備核心部分615�����。移動設備核心部分615還包括通信接口核心部分620���、處理單元處理器625、RAM/ROM630�����、外設接口635�、NAND閃存640和加密模塊645。
在運行中��,移動設備600通過計算環(huán)境通信連接器與協作的計算環(huán)境(未示出)通信�����。被實際連接后��,移動設備600可參加與協作的計算環(huán)境(未示出)的通信以控制協作的計算環(huán)境(未示出)上的一個或多個操作�����。在這種情況下��,數據可通過通信接口物理收發(fā)器610在移動設備600和協作的計算環(huán)境(未示出)之間交換。另外���,移動設備可通過移動設備核心部分615的通信接口核心部分620處理數據、指令�����、服務及運算���。一旦在通信接口核心部分��,處理單元處理器625可與RAM/ROM630�、外設接口635�����、NAND閃存640和加密模塊645合作以處理源自協作的計算環(huán)境(未示出)或來自協作的構件(如協作的移動設備管理服務器)的數據���、服務����、指令及運算����,協作的構件可被連到協作的計算環(huán)境(未示出)����。
在用以說明的實施方式中�,外設接口635可用于將一個或多個外圍設備物理上連接到移動設備600,其包括但不限于閃存�����、自動控制機構����、通信模塊、及輸入外圍設備(如鼠標���、鍵盤)���。加密模塊645可用于加密和解密移動設備600的處理單元處理器625使用的數據、服務���、指令及應用程序�����。
應意識到的是����,盡管移動設備600被示出具有用以說明的結構和構件,但這樣的描述僅是示例性的���,因為在此描述的裝置和方法可通過具有不同結構的不同構件實現。
圖7為用以說明的移動設備及其可能包含的允許多工作區(qū)操作的鑒別堆棧的框圖����。如圖所示,移動設備700可包括工作區(qū)705���、710����、715��、720�����、725和730����。為了該圖解說明的目的��,工作區(qū)可被視為移動設備內在獨立的用戶鑒別和移動設備鑒別及驗證信息基礎上運行的獨立用戶環(huán)境��。例如����,移動設備可支持多個工作區(qū)�,其中之一用于企業(yè)應用程序和數據、一用于參與用戶的私人游戲應用程序和數據����、及一用于參與用戶的私人購物應用程序和數據。對于這些工作區(qū)中的每一個�����,移動設備可保留獨立的鑒別信息��,使得工作區(qū)可用向各個工作區(qū)提供服務和應用程序的協作構件(如移動設備管理服務器)進行鑒別����。
在這種情況下,圖7示出了具有工作區(qū)705的移動設備700,工作區(qū)705本身包括移動設備的用戶鑒別和驗證及加密密鑰���、工作區(qū)1的公鑰����、及工作區(qū)1的私鑰�����。類似地�,工作區(qū)710具有移動設備的用戶鑒別和驗證信息及工作區(qū)2的公鑰和私鑰���。如圖7中所示��,同樣的用戶鑒別和公鑰/私鑰體系結構存在于工作區(qū)III715�����、工作區(qū)IV720�、…��、直到工作區(qū)n725和工作區(qū)n+1730中����。在運行中�����,移動設備700可允許參與用戶(未示出)選擇用于其登錄并處理數據和網絡服務的工作區(qū)��。根據參與用戶登錄的工作區(qū)��,用戶鑒別/公鑰/私鑰工作區(qū)信息中的一個或多個將被使用�����。
圖8為示例性的移動設備的工作區(qū)實施的框圖��。如圖8中所示����,移動設備805可支持用于運行一個或多個工作區(qū)810和815的操作系統810�。工作區(qū)可被呈現給協作的計算環(huán)境830、820和840���,使得協作的計算環(huán)境830在顯示器835上顯示工作區(qū)I820����。類似地,協作的計算環(huán)境840可在顯示器845上顯示工作區(qū)III817�,協作的計算環(huán)境820可在顯示器825上顯示工作區(qū)II815。如圖所示��,移動設備805可向參與用戶提供工作區(qū)的圖形表示(如虛線所指)�����,其為可旋轉以調用特定工作區(qū)的立方體���。在運行中��,工作區(qū)可通過將立方體旋轉到所需工作區(qū)進行選擇并通過提供適當的鑒別信息(如用戶名和密碼)而使得運行��。
應意識到的是,盡管移動設備被描述為具有可以特定結構(如立方體)呈現的工作區(qū)���,但這樣的描述僅是示例性的���,因為移動設備的多個工作區(qū)可以不同的結構呈現給參與用戶。
圖9所示為當示例性的移動設備600被配置為處理和執(zhí)行網絡服務時所執(zhí)行的處理��。如圖所示����,處理開始于程序塊900并進行到程序塊905���,執(zhí)行檢查以確定在移動設備和協作的計算環(huán)境之間通信是否已被建立。如果在程序塊905的檢查表明沒有通信被建立���,處理返回到程序塊900并從那里繼續(xù)��。
然而���,如果在程序塊905確定移動設備和協作的計算環(huán)境之間通信已被建立,處理進行到程序塊910�,執(zhí)行檢查以鑒別用戶。如果在程序塊910的檢查表明用戶未被成功鑒別�,處理進行到程序塊915,并在那里產生差錯�����。接著�,在程序塊917執(zhí)行檢查以看是否要再次嘗試鑒別。如果在程序塊917確定將再次嘗試鑒別���,處理返回到程序塊910并從那里繼續(xù)���。然而��,如果在程序塊917確定不再嘗試鑒別���,處理進行到程序塊920并終止。
然而��,如果在程序塊910的檢查表明用戶已被鑒別���,處理進行到程序塊925����,移動桌面環(huán)境被啟動以在協作的計算環(huán)境上運行��。在程序塊930�����,通過使用用戶鑒別信息��,用于集成到移動設備移動桌面環(huán)境中的用戶自定義選擇被重新得到����。處理進行到程序塊935,執(zhí)行檢查以確定移動設備移動桌面環(huán)境自定義是否已被改變��。如果在程序塊935的檢查表明移動設備桌面環(huán)境設置有變化����,處理進行到程序塊940,保存這樣的變化����。處理從那里進行到程序塊945,執(zhí)行檢查以確定移動設備是否正請求網絡服務�。如果在程序塊945的檢查表明網絡服務將被執(zhí)行,處理進行到程序塊960�����,網絡服務請求被處理��,并在程序塊965執(zhí)行網絡服務��。處理從那里返回到程序塊945的輸入并從那里繼續(xù)���。
然而�,如果在程序塊945的檢查指示沒有網絡服務請求��,處理進行到程序塊950,執(zhí)行檢查以確定移動設備是否已與協作的計算平臺斷開通信����。如果在程序塊950的檢查表明移動設備已與協作的計算平臺斷開通信,處理在程序塊955終止��。然而���,如果在程序塊950的檢查表明移動設備未被斷開通信�,處理返回到程序塊945的輸入并從那里繼續(xù)���。同樣�����,如果在程序塊935的檢查表明移動桌面環(huán)境設置沒有變化�,處理繼續(xù)到程序塊945的輸入并從那里延續(xù)�。
總之,在此描述的裝置和方法提供移動設備�。然而,應理解的是��,本發(fā)明容許不同的修改和可供選擇的結構����,并不意為本發(fā)明限于在此描述的具體結構。相反���,本發(fā)明應覆蓋所有修改��、可供選擇的結構���、及落在本發(fā)明范圍和精神之內的等價方案。
還應注意的是����,本發(fā)明可被實施在多種計算機環(huán)境(包括非無線和無線計算機環(huán)境)、局部計算環(huán)境�、和真正的全球環(huán)境中。在此描述的不同技術可以硬件或軟件或其結合進行實施�����。優(yōu)選地�,該技術被實施在維護可編程計算機的計算環(huán)境中,其包括處理器����、處理器可讀的存儲介質(包括易失性和非易失性存儲器和/或存儲元件)��、至少一輸入設備�����、及至少一輸出設備����。與不同指令集協作的計算硬件邏輯被應用于數據以執(zhí)行上述功能并產生輸出信息�����。輸出信息被施加到一個或多個輸出設備���。示例性的計算硬件使用的程序最好以不同的編程語言實現���,包括高級程序或對象導向的編程語言,以與計算機系統通信�。說明性地,如果需要��,在此描述的裝置和方法可以組件或機器語言實施����。無論如何�,語言可以是編譯或解釋的語言����。每一這樣的計算機程序最好被保存在存儲介質或設備(如ROM或磁盤)上�,其可由一般或專用可編程計算機讀以配置和運行計算機,當存儲介質或設備被計算機讀時執(zhí)行上述規(guī)程���。裝置還可考慮被實施為計算機可讀的存儲介質��,用計算機程序配置���,那樣配置的存儲介質使計算機以特殊及預定的方式運行。
盡管本發(fā)明的示例性實施方式已在上面詳細描述�,本領域的技術人員將容易地意識到,在不本質上脫離本發(fā)明的新穎示教和優(yōu)點的情況下��,對示例性的實施例進行許多另外的修改是可能的�。因此,這些及所有這樣的修改均應包括在本發(fā)明的范圍之內�。本發(fā)明可由下面的示例性權利要求更好地定義。
權利要求
1.用于處理網絡服務的移動設備��,包括執(zhí)行至少一網絡服務計算操作的處理單元;將移動設備連接到至少一協作的計算環(huán)境的通信接口�����;與處理單元協作以保存網絡服務和事務信息的存儲器存儲單元�;及在處理單元上運行以執(zhí)行至少一加密的網絡服務的操作系統。
2.根據權利要求1的移動設備�,還包括用于接受并與外圍設備協作的外設接口模塊,外圍設備包括閃存����、通信接口、自動控制外圍設備��、及輸入外圍設備�。
3.根據權利要求1的移動設備,還包括用于連到處理單元并用作網絡服務處理的一部分的NAND閃存�����。
4.根據權利要求1的移動設備��,還包括當移動設備與至少一協作的計算環(huán)境通信時用于在至少一協作的計算環(huán)境上表現桌面計算環(huán)境的移動桌面計算應用程序�。
5.根據權利要求4的移動設備,還包括用于自定義移動設備的參與用戶參數選擇及設置的用戶管理模塊��。
6.根據權利要求1的移動設備,還包括與操作系統一起運行的自運行模塊����,以允許移動設備開始自動配置并與至少一計算環(huán)境協作。
7.根據權利要求6的移動設備�����,其中至少一計算環(huán)境包括至少一計算環(huán)境本地的操作系統��。
8.根據權利要求7的移動設備�,其中移動設備的操作系統控制至少一計算環(huán)境本地的操作系統�。
9.根據權利要求8的移動設備,還包括用戶鑒別及管理模塊�����,用于使用用戶鑒別信息鑒別具有移動設備的參與用戶���。
10.根據權利要求9的移動設備���,其中用戶鑒別信息包括用戶標識信息和用戶密碼信息。
11.根據權利要求1的移動設備�����,還包括移動設備平臺鑒別和驗證模塊,用于鑒別使用協作的移動設備管理服務器的移動設備�����。
12.根據權利要求11的移動設備�����,其中移動設備與移動設備管理服務器合作以獲得網絡服務���。
13.根據權利要求12的移動設備���,其中移動設備管理服務器在鑒別移動設備的基礎上向移動設備提供網絡服務。
14.根據權利要求1的移動設備����,還包括與處理單元協作以處理網絡服務的數學協處理器。
15.根據權利要求14的移動設備���,還包括用于加密和解密網絡服務事務的加密模塊�。
16.根據權利要求1的移動設備����,其中操作系統包括用于運行各種計算應用程序的java虛擬機�。
17.根據權利要求16的移動設備�,計算應用程序包括下述應用程序中的任何一個或多個電子郵件計算應用程序、字處理器計算應用程序�、瀏覽器計算應用程序、移動桌面環(huán)境����、電子數據表計算應用程序、及可被表現為網絡服務的其它計算應用程序���。
18.根據權利要求17的移動設備,還包括工作區(qū)模塊�����,用于允許多個工作區(qū)在移動設備上運行�����。
19.根據權利要求18的移動設備���,其中工作區(qū)模塊用于使用移動設備鑒別信息控制對每一工作區(qū)的訪問���。
20.根據權利要求19的移動設備���,其中每一工作區(qū)的配置信息被保存在存儲器存儲單元中。
21.跨網絡化計算環(huán)境安全通信網絡服務的方法���,包括提供用于處理網絡服務的移動設備�;在通信鏈路上在移動設備和協作的移動設備管理服務器之間建立通信����;及在移動設備端運行由移動設備管理服務器提供的加密的網絡服務。
22.根據權利要求21的方法�,還包括由移動設備管理服務器鑒別移動設備以確保移動設備具有適當的接入、權限和特許從而接收由移動設備管理服務器提供的所請求的網絡服務�。
23.根據權利要求22的方法,還包括將所請求的網絡服務從移動設備管理服務器通信給經鑒別的移動設備�����。
24.根據權利要求21的方法�����,還包括在移動設備和協作的計算環(huán)境之間建立通信鏈路�。
25.在協作的計算環(huán)境上安全運行網絡服務的系統�����,包括第一處理單元裝置�,用于處理網絡服務及相關的網絡服務事務數據�����;第二裝置����,用于保存網絡服務及相關的網絡服務事務數據;及第三裝置���,用于將第一裝置和第二裝置連接到協作的計算環(huán)境����。
26.根據權利要求25的系統���,還包括第四裝置,用于鑒別使用協作的計算環(huán)境的系統��。
27.根據權利要求26的系統����,還包括第五裝置�����,用于與提供網絡服務的移動設備管理服務器進行通信�。
28.根據權利要求25的系統�����,還包括第六裝置�,用于通過第三裝置在協作的計算環(huán)境上運行計算應用程序。
29.配置移動設備以在協作的計算環(huán)境上運行的方法���,包括在移動設備上啟動自運行操作以允許移動設備自動配置并將其自身與協作的計算環(huán)境相關聯���;獲取用戶鑒別信息;驗證用戶鑒別信息�;及在用戶鑒別成功的基礎上,移動設備與協作的計算環(huán)境合作以執(zhí)行網絡服務�。
30.根據權利要求29的方法,還包括由移動設備在協作的計算環(huán)境上運行計算應用程序�,計算應用程序包括下列的任何一個電子郵件、字處理器、電子數據表����、瀏覽器、桌面環(huán)境����、及用戶管理應用程序。
31.根據權利要求30的方法���,還包括將網絡服務和相關的網絡服務事務保存在移動設備上�����。
32.具有指示計算機執(zhí)行包括下述步驟的方法的計算機可讀指令的計算機可讀介質���,其中方法包括在移動設備上啟動自運行操作以允許移動設備自動配置并將其自身與協作的計算環(huán)境相關聯;獲取用戶鑒別信息��;驗證用戶鑒別信息���;及在用戶鑒別成功的基礎上,移動設備與協作的計算環(huán)境合作以執(zhí)行網絡服務�����。
全文摘要
本發(fā)明提供了用在允許安全移動計算的移動設備平臺(400)中的移動設備(400)。在用以說明的實施方式中����,示例性的移動設備平臺(400)包括用于通過通信接口(410)與至少一計算環(huán)境(415)通信的移動設備(405),其中移動設備(405)用于處理和保存安全的網絡服務(430)�,通信網絡(435)使用網絡服務(430)傳送數據和計算應用程序,及移動設備管理服務器(420)用于產生���、處理�、保存�����、傳送及加密到移動設備(405)的網絡服務(430)��。移動設備(405)可包括處理單元(625)���、與協作的計算環(huán)境(415)連接的移動設備通信接口(605��、610��、615)����、存儲器存儲單元(630)、及用于運行網絡服務和/或計算應用程序的操作系統(510)��。
文檔編號H04W12/06GK1879434SQ200480029368
公開日2006年12月13日 申請日期2004年4月30日 優(yōu)先權日2003年9月29日
發(fā)明者彼得·布克曼, 里克·查理斯·懷特 申請人:瑞姆系統公司